Redirecting you to
Entrada de blog abr. 24, 2024

eIDAS 2.0: Beneficios, controversias y el futuro de las identidades digitales

eIDAS 2.0 moderniza las transacciones digitales en la UE con la billetera EUDI, haciendo los procesos más seguros y rápidos. Sin embargo, genera preocupaciones sobre la centralización, la privacidad y la dependencia de los navegadores. Los certificados QWAC introducen desafíos de ciberseguridad. Aunque promete conveniencia, eIDAS 2.0 divide opiniones sobre sus implicaciones para la seguridad y la libertad.

Tabla de Contenidos

eIDAS 2.0: Qué es y las controversias que lo rodean

La identificación electrónica, autenticación y servicios de confianza (eIDAS) es una normativa establecida por los 27 países de la Unión Europea (UE) para hacer más cómodo y seguro el comercio electrónico. Regula los certificados digitales, las firmas electrónicas y los sellos electrónicos, y controla los servicios que establecen la confianza entre dos entidades que participan en una transacción electrónica en la UE.

La normativa eIDAS 2.0 está pensada para facilitar la autenticación de sitios web, la firma de documentos y la realización de una amplia gama de transacciones en línea. Por ejemplo, puede comprar un vehículo, solicitar un préstamo, contratar un seguro, matricularlo y añadirlo a su póliza de seguros sin tener que firmar nunca un papel.

Pero el eIDAS también suscita inquietudes. Muchas partes interesadas creen que puede exponer innecesariamente a ciudadanos y empresas a riesgos debido a su carácter centralizado. Otros creen que el eIDAS se extralimita al dictar los tipos de certificados digitales en los que pueden confiar los navegadores, y algunos piensan que el eIDAS facilita a los países miembros de la UE el espionaje de sus ciudadanos.

Evolución de eIDAS a eIDAS 2.0

Aunque el eIDAS 1.0 contribuyó a hacer más seguros los espacios digitales, no ofrecía una protección completa. Por ejemplo, cada Estado miembro podía elegir cómo implantar el eIDAS, lo que daba lugar a políticas incoherentes de un país a otro. Además, sus servicios de confianza sólo incluían firmas electrónicas, sellos y marcas de tiempo. La normativa no protegía a los usuarios de sitios falsos que buscaban robar identidades.

eIDAS 2.0 pretende remediar estos problemas introduciendo el monedero de identidad digital de la Unión Europea (EUDI), con el que se espera que las transacciones digitales sean más coherentes entre particulares y organizaciones.

Los usuarios pueden almacenar en la Cartera EUDI datos de identificación como el nombre, la fecha de nacimiento, la firma, el lugar de residencia y el número de teléfono. Luego, cuando soliciten un préstamo y el prestamista les pida información de identificación, por ejemplo, podrán enviar los datos directamente desde sus carteras. No hace falta firmar documentos, enviarlos por fax ni utilizar programas de firma electrónica de terceros.

Además, al introducir nuevos mecanismos y servicios de confianza, eIDAS 2.0 cubre una gama más amplia de transacciones digitales. Una característica destacable es el Certificado Cualificado de Autenticación de Sitios Web (QWAC), el equivalente a los certificados digitales SSL que se utilizan hoy en día para validar la autenticidad de los sitios web. La versión 2.0 también incluye archivos y libros de contabilidad electrónicos, así como sistemas de gestión de firmas electrónicas remotas.

¿Qué es eIDAS 2.0?

Los principales objetivos de eIDAS 2.0 son:

  • Ampliar el número de servicios a los que se aplica el Reglamento, como los certificados electrónicos de autenticación.
  • Hacer más coherente la aplicación de las transacciones electrónicas, especialmente a través del monedero EUDI.
  • Incorporar transacciones electrónicas más seguras y cómodas a un mayor número de actividades cotidianas, como rellenar un contrato de alquiler, reservar un vuelo o solicitar un empleo.

Existen tres categorías principales de entidades en el ecosistema eIDAS:

  • Emisor de identidades: Por ejemplo, una entidad gubernamental puede emitir datos de identificación personal a partir del certificado de nacimiento de un usuario, dando fe de su lugar de nacimiento, nombre, fecha y padres.
  • El usuario: Es la persona o entidad comercial que recibe los datos de identificación del emisor y puede ser un ciudadano o el propietario de un sitio web que recibe un QWAC.
  • La parte usuaria: La parte usuaria es la entidad que utiliza la identificación proporcionada por el usuario. Puede ser una compañía aérea que acepta una reserva de vuelo, un hospital que realiza procedimientos de admisión o un empleador que entrevista a un candidato.

Después de que los colegisladores llegaran a un acuerdo sobre su contenido el 29 de junio de 2023, el eIDAS entró plenamente en vigor en septiembre de 2023.

Ventajas del eIDAS 2.0 para los ciudadanos y las empresas de la UE

Con eIDAS 2.0, las empresas y los ciudadanos de la UE podrán realizar transacciones electrónicas más cómodas, rápidas y potencialmente más seguras.

Para los ciudadanos, las transacciones son mucho más rápidas. Por ejemplo, a la hora de comprar una vivienda, no tendrán que presentar copias de sus pasaportes ni pedir que lo certifique un juez de paz u otra entidad certificadora. Basta con que presenten sus carteras EUDI Wallets con la información de su identificación digital y elijan los datos que desean compartir. Del mismo modo, las empresas pueden disfrutar de transacciones más rápidas, fluidas y seguras. Tienen acceso instantáneo a diversos datos de identificación para verificar que los clientes son quienes dicen ser.

Las transacciones en línea también son más seguras y cómodas, tanto para las empresas como para los clientes, incluso en compras importantes. Los clientes pueden compartir sus datos de identificación, pago y envío directamente desde sus carteras, lo que facilita el flujo de ingresos de las empresas que venden por Internet.

Las transacciones transfronterizas también se benefician. Históricamente, los países tenían sus propias leyes de protección de datos, lo que obstaculizaba las transacciones que requerían el intercambio de datos. eIDAS 2.0 opera en consonancia con los principios del GDPR, que se aplican a los 27 países.

Controversias sobre eIDAS 2.0

Un proveedor cualificado de servicios de confianza (qualified trust service provider, QTSP) es una persona física o jurídica que presta uno o varios servicios de confianza cualificados. Existen cientos de QTSP, muchos de los cuales son específicos de cada país. Garantizar la fiabilidad y las medidas de ciberseguridad de cada QTSP puede resultar complicado. Esta cuestión, junto con otras disposiciones del eIDAS 2.0, ha suscitado algunas controversias:

  • eIDAS podría allanar el camino a un repositorio central de certificados de sitios, uno con todos los QWAC emitidos por algunos o todos los Estados miembros. Eso significa que un solo pirateo podría provocar brechas en miles de sitios de toda la UE.
  • eIDAS limita la libertad de los fabricantes de navegadores al obligarles a trabajar con QWAC de cualquiera de los proveedores de servicios de confianza aprobados. Si un desarrollador de navegadores tiene dudas sobre las prácticas de ciberseguridad de un QTSP, tiene que reconocer los QWAC emitidos por ese QTSP.
  • Si un gobierno europeo quisiera empezar a espiar a ciudadanos o empresas, podría obtener información sobre certificados y claves de los QTSP.
  • eIDAS especifica el modo en que los navegadores muestran la información sobre las organizaciones. La información debe ser fácil de identificar, comprender y verificar para los consumidores. Algunas partes interesadas creen que esto obstaculiza la capacidad de los fabricantes de navegadores para diseñar interfaces y tomar sus propias decisiones creativas.

Todo ello puede dar lugar a un exceso de regulación. En el futuro, el gobierno podría incluso optar por certificar QTSPs basándose en criterios cuestionables, como el número de empleados o el país desde el que opera.

¿Y ahora qué?

eIDAS 2.0 está aún en sus primeras fases. El monedero EUDI comenzó sus pruebas piloto en abril de 2023, centrándose en varios casos de uso, entre ellos

  • Acceso a servicios públicos
  • Abrir una cuenta bancaria
  • Registro de tarjetas SIM
  • Almacenamiento de la información del permiso de conducir
  • Firma de contratos
  • Reclamación de recetas
  • Viajes transfronterizos
  • Emisión de identidades digitales organizativas
  • Aceptación de pagos
  • Certificar títulos educativos
  • Acceso a prestaciones de la Seguridad Social

A medida que funcionarios, empresas y ciudadanos aprendan de estas pruebas, el futuro del eIDAS se irá aclarando. Está llamado a mejorar la fluidez y la seguridad de las transacciones digitales y a eliminar de forma generalizada los sistemas de verificación de identidad basados en papel, que tanto tiempo consumen.

Al mismo tiempo, algunas partes interesadas creen que eIDAS 2.0 puede amenazar la seguridad de los sistemas de autenticación de sitios web y los datos de los usuarios. También podría allanar el camino para el espionaje gubernamental y la sobrerregulación.

Sectigo ofrece certificados digitales compatibles con eIDAS que permiten tanto a particulares como a empresas proteger documentos y utilizar firmas digitales de forma más eficaz. Para saber más, conéctese con Sectigo hoy mismo.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

Entradas asociadas:

Guía para la regulación y el cumplimiento de eIDAS

Root Causes 343: La controversia EIDAS 2.0